Spyware DetectedThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
21.02.2006, 21:15
...neu hier
Beiträge: 10 |
||
|
||
22.02.2006, 01:12
Ehrenmitglied
Beiträge: 29434 |
#2
Malloci
das ist eine Verseuchung mit Look2me 1.Schritt: stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html auf der Seite ist alles genau erklaert...es sind 4 Logs...wenn du nicht zurechtkommst... frag __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.02.2006, 17:51
...neu hier
Themenstarter Beiträge: 10 |
#3
Hallo Sabina,
vielen Dank schon mal für die 1. Anweisungen. Habe die Dateien kopiert und eingefügt. Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 78EA-2C08 Verzeichnis von C:\WINDOWS\system32 22.02.2006 17:22 234.272 guard.tmp 21.02.2006 19:06 2.278 wpa.dbl 21.02.2006 19:02 234.272 dnl8013ue.dll 21.02.2006 19:01 234.272 iwmui.dll 21.02.2006 19:00 235.651 gp00l3dm1.dll 21.02.2006 18:56 235.651 MRIMUSIC.DLL 21.02.2006 18:51 234.272 szrialui.dll 17.02.2006 21:51 2 stera.job 17.02.2006 21:16 100 LuResult.txt 08.02.2006 06:23 4.513.120 MRT.exe 04.02.2006 19:40 23.392 nscompat.tlb 04.02.2006 19:40 16.832 amcompat.tlb 19.01.2006 18:59 192.184 FNTCACHE.DAT 18.01.2006 13:05 57.344 avsda.dll 12.01.2006 11:32 543.496 LegitCheckControl.DLL 04.01.2006 04:35 68.096 webclnt.dll 29.12.2005 03:54 280.064 gdi32.dll 06.12.2005 06:02 5.533.696 wmp.dll 01.12.2005 04:31 1.492.480 shdocvw.dll 24.11.2005 00:58 1.022.464 browseui.dll 24.11.2005 00:58 3.013.632 mshtml.dll 05.11.2005 04:16 606.208 urlmon.dll 05.11.2005 04:16 1.056.256 danim.dll Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 78EA-2C08 Verzeichnis von C:\DOKUME~1\gabi\LOKALE~1\Temp 22.02.2006 17:29 240 datFind.zip 22.02.2006 17:27 16.384 ~DFA7A2.tmp 22.02.2006 17:27 512 ~DF948D.tmp 22.02.2006 17:27 16.384 ~DF9481.tmp 22.02.2006 17:23 16.384 ~DF1FF2.tmp 22.02.2006 17:23 16.384 ~DF909D.tmp 6 Datei(en) 66.288 Bytes 0 Verzeichnis(se), 70.920.790.016 Bytes frei Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 78EA-2C08 Verzeichnis von C:\WINDOWS 22.02.2006 13:17 38 MDMahjongg.ini 22.02.2006 12:29 1.903.010 WindowsUpdate.log 22.02.2006 12:23 0 0.log 22.02.2006 12:23 159 wiadebug.log 22.02.2006 12:23 2.290 BRMFBIDI.INI 22.02.2006 12:23 50 wiaservc.log 22.02.2006 12:23 2.048 bootstat.dat 21.02.2006 22:44 32.556 SchedLgU.Txt 20.02.2006 21:06 30.497 KB905915.log 20.02.2006 21:05 56.493 setupapi.log 20.02.2006 20:30 0 nsreg.dat 20.02.2006 20:30 107.134 UninstallFirefox.exe 20.02.2006 20:30 2.266 mozver.dat 17.02.2006 19:12 43 drsmartload2.dat 17.02.2006 19:12 0 winsysupd91.dat 17.02.2006 19:12 0 gimmygames91.dat 17.02.2006 19:00 0 SwSys2.bmp 17.02.2006 19:00 0 SwSys1.bmp 16.02.2006 18:31 923 spupdsvc.log 15.02.2006 22:08 79.575 ntdtcsetup.log 15.02.2006 22:08 58.059 iis6.log 15.02.2006 22:08 132.203 comsetup.log 15.02.2006 22:08 10.689 KB911927.log 15.02.2006 22:08 149.108 tsoc.log 15.02.2006 22:08 20.707 ocmsn.log 15.02.2006 22:08 1.374 imsins.log 15.02.2006 22:08 18.913 msgsocm.log 15.02.2006 22:08 192.169 ocgen.log 15.02.2006 22:08 384.908 FaxSetup.log 15.02.2006 22:08 27.378 updspapi.log 15.02.2006 22:08 7.596 KB911564.log 15.02.2006 22:08 104.696 wmsetup.log 15.02.2006 22:07 7.812 KB911565.log 15.02.2006 22:07 6.658 KB913446.log 04.02.2006 20:47 1.668 cdplayer.ini 04.02.2006 19:42 377 wmsetup10.log 04.02.2006 19:40 1.067.999 setupapi.log.0.old 04.02.2006 19:39 316.640 WMSysPr9.prx 29.01.2006 18:23 10 popcinfo.dat 22.01.2006 11:30 31 wininit.ini 22.01.2006 11:28 229.654 setupact.log 13.01.2006 18:04 10.164 KB908519.log 05.01.2006 22:24 11.022 KB912919.log 02.01.2006 21:24 963 orun32.ini 27.12.2005 16:43 65 Uninstall Spielesammlung.ini 17.12.2005 17:41 10.989 KB910437.log 08.11.2005 20:10 11.878 KB896424.log Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 78EA-2C08 Verzeichnis von C:\ 22.02.2006 17:44 0 sys.txt 22.02.2006 17:39 11.456 system.txt 22.02.2006 17:37 527 systemtemp.txt 22.02.2006 17:30 99.217 system32.txt 22.02.2006 12:23 266.915.840 hiberfil.sys 22.02.2006 12:23 402.653.184 pagefile.sys 19.02.2006 00:30 105 DownloadLog.txt Und wie gehts jetzt weiter? Gruß G. Malloci |
|
|
||
22.02.2006, 18:24
Ehrenmitglied
Beiträge: 29434 |
#4
Malloci
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. REGEDIT4 [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService] ---------------------------------------------------------------------------------- KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: . C:\WINDOWS\system32\guard.tmp C:\WINDOWS\system32\dnl8013ue.dll C:\WINDOWS\system32\iwmui.dll C:\WINDOWS\system32\gp00l3dm1.dll C:\WINDOWS\system32\gprol3931.dll C:\WINDOWS\system32\MRIMUSIC.DLL C:\WINDOWS\system32\szrialui.dll C:\WINDOWS\system32\stera.job C:\WINDOWS\drsmartload2.dat C:\WINDOWS\winsysupd91.dat C:\WINDOWS\gimmygames91.dat C:\WINDOWS\Z2FiaQ\command.exe C:\WINDOWS\SwSys2.bmp C:\WINDOWS\SwSys1.bmp Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken nach dem Neustart suche: C:\!KillBox und loesche alle dort befindlichen Dateien manuell loesche: C:\WINDOWS\Z2FiaQ ---------------------------------------------------------------------------- L2mfix--> arbeite Option 2 ab --> nach Neustart + Scan poste diesen Scanreport http://virus-protect.org/l2mfix.html dann sehen wir weiter __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.02.2006, 22:05
...neu hier
Themenstarter Beiträge: 10 |
#5
Hallo Sabina, ich schon wieder.
Habe hoffentlich alles ausgeführt wie angegeben und die entsprechenden Dateien usw. kopiert. Warte auf weitere Anweisungen und danke dir schon mal im voraus vielmals für die Zeit die du für mich aufbringst. Gruß G. Malloci L2MFIX find log 010406 These are the registry keys present ********************************************************************************** Winlogon/notify: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] "DLLName"="Ati2evxx.dll" "Asynchronous"=dword:00000000 "Impersonate"=dword:00000001 "Lock"="AtiLockEvent" "Logoff"="AtiLogoffEvent" "Logon"="AtiLogonEvent" "Disconnect"="AtiDisConnectEvent" "Reconnect"="AtiReConnectEvent" "Safe"=dword:00000000 "Shutdown"="AtiShutdownEvent" "StartScreenSaver"="AtiStartScreenSaverEvent" "StartShell"="AtiStartShellEvent" "Startup"="AtiStartupEvent" "StopScreenSaver"="AtiStopScreenSaverEvent" "Unlock"="AtiUnLockEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\ 6c,00,00,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Run] "Asynchronous"=dword:00000000 "DllName"="C:\\WINDOWS\\system32\\mv0ul9d91.dll" "Impersonate"=dword:00000000 "Logon"="WinLogon" "Logoff"="WinLogoff" "Shutdown"="WinShutdown" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp] "DLLName"="wlnotify.dll" "Logon"="SCardStartCertProp" "Logoff"="SCardStopCertProp" "Lock"="SCardSuspendCertProp" "Unlock"="SCardResumeCertProp" "Enabled"=dword:00000001 "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "StartShell"="SchedStartShell" "Logoff"="SchedEventLogOff" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "PostShell"="SensPostShellEvent" "Disconnect"="SensDisconnectEvent" "Reconnect"="SensReconnectEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "Logoff"="TSEventLogoff" "Logon"="TSEventLogon" "PostShell"="TSEventPostShell" "Shutdown"="TSEventShutdown" "StartShell"="TSEventStartShell" "Startup"="TSEventStartup" "MaxWait"=dword:00000258 "Reconnect"="TSEventReconnect" "Disconnect"="TSEventDisconnect" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon] "DLLName"="wlnotify.dll" "Logon"="RegisterTicketExpiredNotificationEvent" "Logoff"="UnregisterTicketExpiredNotificationEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 ********************************************************************************** useragent: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] "{047239AF-2AB3-D126-1D46-70ABF4576339}"="" ********************************************************************************** Shell Extension key: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] "{00022613-0000-0000-C000-000000000046}"="Eigenschaften fr Multimediadatei" "{176d6597-26d3-11d1-b350-080036a75b03}"="ICM-Scannerverwaltung" "{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="NTFS-Sicherheit" "{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="OLE-Eigenschaftenseite fr Dokumente" "{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shellerweiterungen fr Freigaben" "{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension" "{42071712-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Grafikkarten" "{42071713-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Bildschirme" "{42071714-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung fr Anzeigeverschiebung" "{4E40F770-369C-11d0-8922-00A024AB2DBB}"="DS-Sicherheit" "{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Kompatibilit„tsseite" "{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell-Datenauszughandler" "{59099400-57FF-11CE-BD94-0020AF85B590}"="Erweiterung fr Datentr„gerkopien" "{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shellerweiterungen fr Microsoft Windows-Netzwerkobjekte" "{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM-Monitorverwaltung" "{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM-Druckerverwaltung" "{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shellerweiterungen fr die Dateikomprimierung" "{77597368-7b15-11d0-a0c2-080036af3f03}"="Shellerweiterung fr Webdrucker" "{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI" "{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Kontextmen fr die Verschlsselung" "{85BBD920-42A0-1069-A2E4-08002B30309D}"="Aktenkoffer" "{88895560-9AA2-1069-930E-00AA0030EBC8}"="Erweiterung fr HyperTerminal-Icons" "{BD84B380-8CA2-1069-AB1D-08000948F534}"="Schriftarten" "{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC-Profil" "{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Druckersicherheit" "{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shellerweiterungen fr Freigaben" "{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension" "{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-PKO-Erweiterung" "{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-Sign-Erweiterung" "{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Netzwerkverbindungen" "{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Netzwerkverbindungen" "{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="Scanner und Kameras" "{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="Scanner und Kameras" "{905667aa-acd6-11d2-8080-00805f6596d2}"="Scanner und Kameras" "{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="Scanner und Kameras" "{83bbcbf3-b28a-4919-a5aa-73027445d672}"="Scanner und Kameras" "{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension" "{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shellerweiterungen fr Windows Script Host" "{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Microsoft Datenverknpfung" "{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler" "{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension" "{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Geplante Tasks" "{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults" "{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension" "{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Taskleiste und Startmen" "{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Suchen" "{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support" "{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support" "{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ausfhren..." "{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet" "{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="E-Mail" "{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Schriftarten" "{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Verwaltung" "{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Eigenschaftenseite fr vorherige Versionen" "{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Vorherige Versionen" "{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler" "{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler" "{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler" "{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler" "{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler" "{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor" "{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet Toolbar" "{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Download Status" "{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Augmented Shell Folder" "{6413BA2C-B461-11d1-A18A-080036B11A03}"="Augmented Shell Folder 2" "{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy" "{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand" "{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Search Band" "{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="In-pane search" "{07798131-AF23-11d1-9111-00A0C98BA67D}"="Web Search" "{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Registry Tree Options Utility" "{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse" "{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox" "{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoComplete" "{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor" "{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU AutoComplete List" "{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Custom MRU AutoCompleted List" "{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible" "{acf35015-526e-4230-9596-becbe19f0ac9}"="Track Popup Bar" "{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Microsoft History AutoComplete List" "{03C036F1-A186-11D0-824A-00AA005B4383}"="Microsoft Shell Folder AutoComplete List" "{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft Multiple AutoComplete List Container" "{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu" "{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp" "{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar" "{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite" "{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="User Assist" "{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Global Folder Settings" "{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band" "{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service" "{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer" "{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture" "{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut" "{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft URL-Verlauf-Dienst" "{FF393560-C2A7-11CF-BFF4-444553540000}"="Verlauf" "{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files" "{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files" "{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Sucheingriff" "{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite-Begráungsbildschirm" "{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook" "{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC" "{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC" "{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet" "{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space" "{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer-Band" "{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service" "{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service" "{88C6C381-2E85-11D0-94DE-444553540000}"="ActiveX-Cacheordner" "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck" "{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr" "{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder" "{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler" "{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent" "{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent" "{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent" "{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent" "{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent" "{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler" "{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Application Manager" "{0B124F8F-91F0-11D1-B8B5-006008059382}"="Installed Apps Enumerator" "{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher" "{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs" "{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory" "{00E7B358-F65B-4dcf-83DF-CD026B94BFD4}"="Autoplay for SlideShow" "{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI+ Dateiminiaturansicht-Extrahierungsprogramm" "{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Zusammenfassungs-Miniaturansichthandler (DOCFILES)" "{EAB841A0-9550-11cf-8C16-00805F1408F3}"="HTML-Extrahierungsprogramm" "{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler" "{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Webpublishing-Assistent" "{add36aa8-751a-4579-a266-d66f5202ccbb}"="Bestellung von Abzgen ber das Internet" "{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Shellobjekt des Webpublishing-Assistenten" "{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Passport-Assistent" "{7A9D77BD-5403-11d2-8785-2E0420524153}"="Benutzerkonten" "{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler" "{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target" "{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Channeldatei" "{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Channelverknpfung" "{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channelhandlerobjekt" "{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu" "{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties" "{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder" "{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview" "{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext" "{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control" "{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control" "{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control" "{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control" "{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control" "{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI" "{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object" "{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find" "{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find" "{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI" "{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs" "{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook" "{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target" "{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties" "{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu" "{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options" "{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Ordner 'Offlinedateien'" "{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler" "{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell" "{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%" "{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler" "{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer" "{32714800-2E5F-11d0-8B85-00AA0044F941}"="&Nach Personen..." "{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler" "{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler" "{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler" "{1D2680C9-0E2A-469d-B787-065558BC7D43}"="Fusion Cache" "{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices" "{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu" "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}"="Shell Extensions for RealOne Player" "{DEE12703-6333-4D4E-8F34-738C4DCC2E04}"="RecordNow! SendToExt" "{0006F045-0000-0000-C000-000000000046}"="Microsoft Outlook Custom Icon Handler" "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"="ICQ Lite Shell Extension" "{21569614-B795-46b1-85F4-E737A8DC09AD}"="Shell Search Band" "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension" "{A51AE9E2-2B21-40EB-81AC-A1F84D531F82}"="" "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"="Shell Extension for Malware scanning" "{ACB61A83-F0F7-4557-AAE9-BF2F4B83F5F0}"="" ********************************************************************************** HKEY ROOT CLASSIDS: Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{A51AE9E2-2B21-40EB-81AC-A1F84D531F82}] @="" [HKEY_CLASSES_ROOT\CLSID\{A51AE9E2-2B21-40EB-81AC-A1F84D531F82}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{A51AE9E2-2B21-40EB-81AC-A1F84D531F82}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{A51AE9E2-2B21-40EB-81AC-A1F84D531F82}\InprocServer32] @="C:\\WINDOWS\\system32\\guard.tmp" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{ACB61A83-F0F7-4557-AAE9-BF2F4B83F5F0}] @="" [HKEY_CLASSES_ROOT\CLSID\{ACB61A83-F0F7-4557-AAE9-BF2F4B83F5F0}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{ACB61A83-F0F7-4557-AAE9-BF2F4B83F5F0}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{ACB61A83-F0F7-4557-AAE9-BF2F4B83F5F0}\InprocServer32] @="C:\\WINDOWS\\system32\\oheprn.dll" "ThreadingModel"="Apartment" ********************************************************************************** Files Found are not all bad files: C:\WINDOWS\SYSTEM32\ avsda.dll Wed 18 Jan 2006 13:05:54 A.... 57.344 56,00 K browseui.dll Thu 24 Nov 2005 0:58:28 A.... 1.022.464 998,50 K fndrclnr.dll Wed 22 Feb 2006 20:59:54 ..S.R 235.317 229,80 K gdi32.dll Thu 29 Dec 2005 3:54:38 A.... 280.064 273,50 K j80sli~1.dll Wed 22 Feb 2006 21:22:56 ..S.R 237.025 231,47 K legitc~1.dll Thu 12 Jan 2006 11:32:12 A.... 543.496 530,76 K mshtml.dll Thu 24 Nov 2005 0:58:28 A.... 3.013.632 2,87 M mv0ul9~1.dll Wed 22 Feb 2006 21:14:56 ..S.R 235.317 229,80 K oheprn.dll Wed 22 Feb 2006 21:22:56 ..S.R 235.317 229,80 K shdocvw.dll Thu 1 Dec 2005 4:31:06 A.... 1.492.480 1,42 M uvaprop.dll Wed 22 Feb 2006 20:37:12 ..S.R 234.828 229,32 K wcw32.dll Wed 22 Feb 2006 20:44:38 ..S.R 235.317 229,80 K webclnt.dll Wed 4 Jan 2006 4:35:02 A.... 68.096 66,50 K wmp.dll Tue 6 Dec 2005 6:02:16 A.... 5.533.696 5,28 M wphtcpip.dll Wed 22 Feb 2006 20:11:42 ..S.R 234.272 228,78 K wv2time.dll Wed 22 Feb 2006 20:24:04 ..S.R 234.322 228,83 K 16 items found: 16 files (8 H/S), 0 directories. Total of file sizes: 13.892.987 bytes 13,25 M Locate .tmp files: No matches found. ********************************************************************************** Directory Listing of system files: Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 78EA-2C08 Verzeichnis von C:\WINDOWS\System32 22.02.2006 21:22 235.317 oheprn.dll 22.02.2006 21:22 237.025 j80slid7180.dll 22.02.2006 21:14 235.317 mv0ul9d91.dll 22.02.2006 20:59 235.317 fndrclnr.dll 22.02.2006 20:44 235.317 wcw32.dll 22.02.2006 20:37 234.828 uvaprop.dll 22.02.2006 20:24 234.322 wV2time.dll 22.02.2006 20:11 234.272 wphtcpip.dll 20.02.2006 21:04 <DIR> dllcache 13.04.2005 18:03 <DIR> %SystemDrive% 17.11.2004 01:39 <DIR> Microsoft 30.09.2004 22:28 8.192 Thumbs.db 9 Datei(en) 1.889.907 Bytes 3 Verzeichnis(se), 70.927.171.584 Bytes frei L2mfix 010406 Creating Account. Der Befehl wurde erfolgreich ausgefhrt. Adding Administrative privleges. Checking for L2MFix account(0=no 1=yes): 1 Granting SeDebugPrivilege to L2MFIX ... successful Running From: C:\WINDOWS\system32 Killing Processes! Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 544 'smss.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 652 'winlogon.exe' Killing PID 652 'winlogon.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 244 'explorer.exe' Killing PID 244 'explorer.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 1480 'rundll32.exe' Restoring Sedebugprivilege: Granting SeDebugPrivilege to Administratoren ... successful Scanning First Pass. Please Wait! First Pass Completed Second Pass Scanning Second pass Completed! 1 Datei(en) kopiert. 1 Datei(en) kopiert. 1 Datei(en) kopiert. 1 Datei(en) kopiert. 1 Datei(en) kopiert. 1 Datei(en) kopiert. 1 Datei(en) kopiert. 1 Datei(en) kopiert. Deleting: C:\WINDOWS\system32\dwgeng.dll Successfully Deleted: C:\WINDOWS\system32\dwgeng.dll Deleting: C:\WINDOWS\system32\fndrclnr.dll Successfully Deleted: C:\WINDOWS\system32\fndrclnr.dll Deleting: C:\WINDOWS\system32\j80slid7180.dll Successfully Deleted: C:\WINDOWS\system32\j80slid7180.dll Deleting: C:\WINDOWS\system32\jtn4075qe.dll Successfully Deleted: C:\WINDOWS\system32\jtn4075qe.dll Deleting: C:\WINDOWS\system32\uvaprop.dll Successfully Deleted: C:\WINDOWS\system32\uvaprop.dll Deleting: C:\WINDOWS\system32\wcw32.dll Successfully Deleted: C:\WINDOWS\system32\wcw32.dll Deleting: C:\WINDOWS\system32\wphtcpip.dll Successfully Deleted: C:\WINDOWS\system32\wphtcpip.dll Deleting: C:\WINDOWS\system32\wV2time.dll Successfully Deleted: C:\WINDOWS\system32\wV2time.dll msg11?.dll 0 Datei(en) kopiert. Restoring Windows Update Certificates.: The following Is the Current Export of the Winlogon notify key: **************************************************************************** Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] "DLLName"="Ati2evxx.dll" "Asynchronous"=dword:00000000 "Impersonate"=dword:00000001 "Lock"="AtiLockEvent" "Logoff"="AtiLogoffEvent" "Logon"="AtiLogonEvent" "Disconnect"="AtiDisConnectEvent" "Reconnect"="AtiReConnectEvent" "Safe"=dword:00000000 "Shutdown"="AtiShutdownEvent" "StartScreenSaver"="AtiStartScreenSaverEvent" "StartShell"="AtiStartShellEvent" "Startup"="AtiStartupEvent" "StopScreenSaver"="AtiStopScreenSaverEvent" "Unlock"="AtiUnLockEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\ 6c,00,00,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Installer] "Asynchronous"=dword:00000000 "DllName"="C:\\WINDOWS\\system32\\j80slid7180.dll" "Impersonate"=dword:00000000 "Logon"="WinLogon" "Logoff"="WinLogoff" "Shutdown"="WinShutdown" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp] "DLLName"="wlnotify.dll" "Logon"="SCardStartCertProp" "Logoff"="SCardStopCertProp" "Lock"="SCardSuspendCertProp" "Unlock"="SCardResumeCertProp" "Enabled"=dword:00000001 "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "StartShell"="SchedStartShell" "Logoff"="SchedEventLogOff" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "PostShell"="SensPostShellEvent" "Disconnect"="SensDisconnectEvent" "Reconnect"="SensReconnectEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "Logoff"="TSEventLogoff" "Logon"="TSEventLogon" "PostShell"="TSEventPostShell" "Shutdown"="TSEventShutdown" "StartShell"="TSEventStartShell" "Startup"="TSEventStartup" "MaxWait"=dword:00000258 "Reconnect"="TSEventReconnect" "Disconnect"="TSEventDisconnect" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon] "DLLName"="wlnotify.dll" "Logon"="RegisterTicketExpiredNotificationEvent" "Logoff"="UnregisterTicketExpiredNotificationEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 The following are the files found: **************************************************************************** C:\WINDOWS\system32\dwgeng.dll C:\WINDOWS\system32\fndrclnr.dll C:\WINDOWS\system32\j80slid7180.dll C:\WINDOWS\system32\jtn4075qe.dll C:\WINDOWS\system32\uvaprop.dll C:\WINDOWS\system32\wcw32.dll C:\WINDOWS\system32\wphtcpip.dll C:\WINDOWS\system32\wV2time.dll Registry Entries that were Deleted: Please verify that the listing looks ok. If there was something deleted wrongly there are backups in the backreg folder. **************************************************************************** Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{A51AE9E2-2B21-40EB-81AC-A1F84D531F82}] @="" [HKEY_CLASSES_ROOT\CLSID\{A51AE9E2-2B21-40EB-81AC-A1F84D531F82}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{A51AE9E2-2B21-40EB-81AC-A1F84D531F82}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{A51AE9E2-2B21-40EB-81AC-A1F84D531F82}\InprocServer32] @="C:\\WINDOWS\\system32\\guard.tmp" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{ACB61A83-F0F7-4557-AAE9-BF2F4B83F5F0}] @="" [HKEY_CLASSES_ROOT\CLSID\{ACB61A83-F0F7-4557-AAE9-BF2F4B83F5F0}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{ACB61A83-F0F7-4557-AAE9-BF2F4B83F5F0}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{ACB61A83-F0F7-4557-AAE9-BF2F4B83F5F0}\InprocServer32] @="C:\\WINDOWS\\system32\\dwgeng.dll" "ThreadingModel"="Apartment" REGEDIT4 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] "{A51AE9E2-2B21-40EB-81AC-A1F84D531F82}"=- "{ACB61A83-F0F7-4557-AAE9-BF2F4B83F5F0}"=- [-HKEY_CLASSES_ROOT\CLSID\{A51AE9E2-2B21-40EB-81AC-A1F84D531F82}] [-HKEY_CLASSES_ROOT\CLSID\{ACB61A83-F0F7-4557-AAE9-BF2F4B83F5F0}] REGEDIT4 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] "SV1"="" **************************************************************************** Desktop.ini Contents: **************************************************************************** **************************************************************************** Checking for L2MFix account(0=no 1=yes): 0 Zipping up files for submission: adding: dlls/dwgeng.dll (164 bytes security) (deflated 5%) adding: dlls/fndrclnr.dll (164 bytes security) (deflated 5%) adding: dlls/j80slid7180.dll (164 bytes security) (deflated 5%) adding: dlls/jtn4075qe.dll (164 bytes security) (deflated 4%) adding: dlls/uvaprop.dll (164 bytes security) (deflated 5%) adding: dlls/wcw32.dll (164 bytes security) (deflated 5%) adding: dlls/wphtcpip.dll (164 bytes security) (deflated 4%) adding: dlls/wV2time.dll (164 bytes security) (deflated 4%) adding: backregs/A51AE9E2-2B21-40EB-81AC-A1F84D531F82.reg (188 bytes security) (deflated 70%) adding: backregs/ACB61A83-F0F7-4557-AAE9-BF2F4B83F5F0.reg (188 bytes security) (deflated 70%) adding: backregs/notibac.reg (164 bytes security) (deflated 87%) adding: backregs/shell.reg (164 bytes security) (deflated 73%) Logfile of HijackThis v1.99.1 Scan saved at 22:03:38, on 22.02.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton Internet Security\ISSVC.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\notepad.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\Brmfrmps.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\BRMFRSMG.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\Scansoft\PaperPort\pptd40nt.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AIM95\aim.exe C:\WINDOWS\agfguard.exe c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\cmd.exe C:\Dokumente und Einstellungen\gabi\Desktop\HijackThis.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\Scansoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl03a\BrStDvPt.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ISUSPM Startup] c:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: ISDN Guard.lnk = C:\WINDOWS\agfguard.exe O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140465851312 O17 - HKLM\System\CCS\Services\Tcpip\..\{F83AD358-3351-4377-9190-E708AB83F8A2}: NameServer = 195.247.247.195 62.27.27.62 O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\j80slid7180.dll (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing) O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe |
|
|
||
22.02.2006, 22:44
Ehrenmitglied
Beiträge: 29434 |
#6
öffne das HijackThis -- Button "scan" -- vor Malware-Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten
O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\j80slid7180.dll (file missing) PC neustarten Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. Spysweeper scanne und poste den scanreport http://virus-protect.org/spysweeper.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.02.2006, 19:05
...neu hier
Themenstarter Beiträge: 10 |
#7
hallo sabina,
ich habe leider keine ahnung, welchen link bzw welche version ich nutzen sollte. ich habe jedenfalls den scan durchgeführt, finde aber nirgends einen report, den ich schicken könnte. unter dem menü "results" kann ich nichts lesen, weil ich dafür die registrierte version brauche. das einzige, was ich habe, ist dieses hier: Also sweeping: Memory, Cookies, Registry Spy Cookie found: 2o7.net cookie Spy Cookie found: atwola cookie Adware found: isearch desktop search Adware found: look2me Full Sweep has completed. Elapsed time 00:08:32 Traces Found: 5 kannst du damit etwas anfangen oder mir weiterhelfen? tut mir leid, wenn ich mich zu doof anstelle :o) gruß malloci |
|
|
||
24.02.2006, 20:01
Ehrenmitglied
Beiträge: 29434 |
#8
ist o.k. ...das Tool hat den look2me gefunden
scanne mit panda und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.02.2006, 21:32
...neu hier
Themenstarter Beiträge: 10 |
#9
hallo sabina,
ich schon wieder. hier der scanreport von panda: Ereignis Zustand Standort Adware:adware/swimsuitnetwork Nicht desinfiziert C:\WINDOWS\SYSTEM32\MYDLL.dll Potenziell unerwünschtes Tool:application/winantivirus2006 Nicht desinfiziert C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\WinAntiVirus Pro 2006 Adware:adware/dollarrevenue Nicht desinfiziert Windows-Registry Spyware:Cookie/Falkag Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Anwendungsdaten\Mozilla\Firefox\Profiles\chfg0af0.default\cookies.txt[as1.falkag.de/] Spyware:Cookie/Falkag Nicht desinfiziert C:\Dokumente und Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Anwendungsdaten\Mozilla\Firefox\Profiles\chfg0af0.default\cookies.txt[.findwhat.com/] Adware:Adware/CommAd Nicht desinfiziert C:\!KillBox\command.exe Spyware:Cookie/Falkag Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Anwendungsdaten\Mozilla\Firefox\Profiles\chfg0af0.default\cookies.txt[] Spyware:Cookie/WebtrendsLive Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Anwendungsdaten\Mozilla\Firefox\Profiles\chfg0af0.default\cookies.txt[dcsncwimc10000kzgoor3wv9x_3f2v] Spyware:Cookie/Hbmediapro Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Anwendungsdaten\Mozilla\Firefox\Profiles\chfg0af0.default\cookies.txt[] Adware:Adware/Look2Me Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\backup.zip[dwgeng.dll] Adware:Adware/Look2Me Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\backup.zip[fndrclnr.dll] Adware:Adware/Look2Me Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\backup.zip[j80slid7180.dll] Adware:Adware/Look2Me Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\backup.zip[jtn4075qe.dll] Adware:Adware/Look2Me Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\backup.zip[uvaprop.dll] Adware:Adware/Look2Me Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\backup.zip[wcw32.dll] Adware:Adware/Look2Me Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\backup.zip[wphtcpip.dll] Adware:Adware/Look2Me Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\backup.zip[wV2time.dll] Adware:Adware/Look2Me Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\dlls\dwgeng.dll Adware:Adware/Look2Me Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\dlls\fndrclnr.dll Adware:Adware/Look2Me Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\dlls\j80slid7180.dll Adware:Adware/Look2Me Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\dlls\jtn4075qe.dll Adware:Adware/Look2Me Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\dlls\uvaprop.dll Adware:Adware/Look2Me Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\dlls\wcw32.dll Adware:Adware/Look2Me Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\dlls\wphtcpip.dll Adware:Adware/Look2Me Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\dlls\wV2time.dll Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\Process.exe Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix(2).exe[Process.exe] Spyware:Spyware/Virtumonde Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Eigene Dateien\gedichte.zip[setup.exe] Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\chfg0af0.default\Cache\C16DFCFBd01[Process.exe] Spyware:Cookie/2o7.net Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Lokale Einstellungen\Temp\Cookies\gabi@2o7[2].txt Spyware:Cookie/Adtech Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Lokale Einstellungen\Temp\Cookies\gabi@adtech[2].txt Spyware:Cookie/Doubleclick Nicht desinfiziert C:\Dokumente und Einstellungen\gabi\Lokale Einstellungen\Temp\Cookies\gabi@doubleclick[1].txt Security Risk:HackTool/Gendel.A Nicht desinfiziert C:\gendel32.exe Potenziell unerwünschtes Tool:Application/HideWindow.A Nicht desinfiziert C:\hp\bin\FondleWindow.exe Potenziell unerwünschtes Tool:Application/KillApp.B Nicht desinfiziert C:\hp\bin\KillIt.exe Potenziell unerwünschtes Tool:Application/KillApp.A Nicht desinfiziert C:\hp\bin\Terminator.exe Potenziell unerwünschtes Tool:Application/Winantivirus2006 Nicht desinfiziert C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\WapCHK.dll Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Programme\Mozilla Firefox\l2mfix\Process.exe Security Risk:HackTool/Gendel.A Nicht desinfiziert C:\Programme\Packs World GOLD\setup\gendel32.ex_ Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\RECYCLER\S-1-5-21-848034317-34100787-1561999644-1006\Dc13\Process.exe Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\RECYCLER\S-1-5-21-848034317-34100787-1561999644-1006\Dc14.exe[Process.exe] Adware:Adware/Look2Me Nicht desinfiziert C:\RECYCLER\S-1-5-21-848034317-34100787-1561999644-1006\Dc3.dll Adware:Adware/Look2Me Nicht desinfiziert C:\RECYCLER\S-1-5-21-848034317-34100787-1561999644-1006\Dc4.DLL Adware:Adware/Look2Me Nicht desinfiziert C:\RECYCLER\S-1-5-21-848034317-34100787-1561999644-1006\Dc7.dll Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\WINDOWS\system32\Process.exe Adware:Adware/CommAd Nicht desinfiziert C:\WINDOWS\Z2FiaQ\asappsrv.dll danke und gruß g. malloci |
|
|
||
24.02.2006, 23:46
Ehrenmitglied
Beiträge: 29434 |
#10
Malloci
C:\Dokumente und Einstellungen\gabi\Eigene Dateien\gedichte.zip--> damit ist ein Teil der malware auf den PC gekommen............. 0. wende Vundofix an http://virus-protect.org/artikel/tools/vundofixx.html 1. leere den Papierkorb 2. loesche mit der Killbox: http://virus-protect.org/killbox.html C:\WINDOWS\SYSTEM32\MYDLL.dll C:\WINDOWS\Z2FiaQ\asappsrv.dll C:\WINDOWS\system32\fwsvc.sys C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\wa6p_compwiz.exe C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\WapCHK.dll C:\Programme\WinAntiVirus Pro 2006\winpgi.dll C:\Programme\WinAntiVirus Pro 2006\AsAgents.dll C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe C:\Programme\WinAntiVirus Pro 2006\Support.exe C:\Programme\WinAntiVirus Pro 2006\Updater.exe C:\Programme\WinAntiVirus Pro 2006\winav.exe C:\Programme\WinAntiVirus Pro 2006\manual.exe C:\Programme\WinAntiVirus Pro 2006\WAV6COM.dll C:\Programme\WinAntiVirus Pro 2006\pv.exe C:\Dokumente und Einstellungen\gabi\Eigene Dateien\gedichte.zip C:\RECYCLER\S-1-5-21-848034317-34100787-1561999644-1006\Dc3.dll C:\RECYCLER\S-1-5-21-848034317-34100787-1561999644-1006\Dc4.DLL C:\RECYCLER\S-1-5-21-848034317-34100787-1561999644-1006\Dc7.dll C:\RECYCLER\S-1-5-21-848034317-34100787-1561999644-1006\Dc14.exe C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\dlls\dwgeng.dll C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\dlls\fndrclnr.dll C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\dlls\j80slid7180.dll C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\dlls\jtn4075qe.dll C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\dlls\uvaprop.dll C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\dlls\wcw32.dll C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\dlls\wphtcpip.dll C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\dlls\wV2time.dll C:\gendel32.exe 3. loesche manuell im abgesicherten Modus C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\WinAntiVirus Pro 2006 C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006 C:\Programme\WinAntiVirus Pro 2006 C:\WINDOWS\Z2FiaQ C:\Programme\Packs World GOLD C:\hp 4. scanne mit ewido und poste den scanbericht http://virus-protect.org/ewido.html 5. Registry Search Tool http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren Doppelklick:regsrch.vbs reinkopieren: WinAntiVirus Pro 2006 Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) reinkopieren: Firewall service Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) ------------------------------------------------------------------------ winantivirus pro 2006--> ist der Grund fuer alle Probleme.... http://virus-protect.org/artikel/spyware/winantivirus_%20pro_%202006.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.02.2006, 13:52
...neu hier
Themenstarter Beiträge: 10 |
#11
hallo sabina,
bei VundoFix.exe wurde nichts gefunden. Meldungen: Scan = No infected files were found Remove = No files were found, VundoFix V4.0 wir now close. Laut Angabe sollten Symbole auf Desktop veschwinden und Frage, ob PC neu gestartet werden soll. Passierte nix. Habe PC trotzdem neu gestartet. Dann wie angegeben weiter verfahren. Hier der Scanbericht von ewido: --------------------------------------------------------- ewido anti-malware - Scan Report --------------------------------------------------------- + Erstellt am: 13:27:53, 25.02.2006 + Report-Checksumme: F8DA6BF9 + Scanergebnis: HKLM\SOFTWARE\Classes\CLSID\{2178F3FB-2560-458f-BDEE-631E2FE0DFE4} -> Adware.WinAntiVirus : Gesäubert mit Backup HKLM\SOFTWARE\Classes\SearchBar.StockBar -> Adware.Crac*hier nicht!* : Gesäubert mit Backup HKLM\SOFTWARE\Classes\SearchBar.StockBar\CLSID -> Adware.Crac*hier nicht!* : Gesäubert mit Backup HKLM\SOFTWARE\Classes\SearchBar.StockBar\CurVer -> Adware.Crac*hier nicht!* : Gesäubert mit Backup HKLM\SOFTWARE\Classes\SearchBar.StockBar.1 -> Adware.Crac*hier nicht!* : Gesäubert mit Backup HKU\S-1-5-21-848034317-34100787-1561999644-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2178F3FB-2560-458F-BDEE-631E2FE0DFE4} -> Adware.WinAntiVirus : Gesäubert mit Backup C:\!KillBox\asappsrv.dll -> Adware.CommAd : Gesäubert mit Backup C:\!KillBox\command.exe -> Adware.CommAd : Gesäubert mit Backup C:\!KillBox\dwgeng.dll -> Adware.Look2Me : Gesäubert mit Backup C:\!KillBox\fndrclnr.dll -> Adware.Look2Me : Gesäubert mit Backup C:\!KillBox\j80slid7180.dll -> Adware.Look2Me : Gesäubert mit Backup C:\!KillBox\jtn4075qe.dll -> Adware.Look2Me : Gesäubert mit Backup C:\!KillBox\uvaprop.dll -> Adware.Look2Me : Gesäubert mit Backup C:\!KillBox\wcw32.dll -> Adware.Look2Me : Gesäubert mit Backup C:\!KillBox\wphtcpip.dll -> Adware.Look2Me : Gesäubert mit Backup C:\!KillBox\wV2time.dll -> Adware.Look2Me : Gesäubert mit Backup :mozilla.15:C:\Dokumente und Einstellungen\gabi\Anwendungsdaten\Mozilla\Firefox\Profiles\chfg0af0.default\cookies.txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup :mozilla.19:C:\Dokumente und Einstellungen\gabi\Anwendungsdaten\Mozilla\Firefox\Profiles\chfg0af0.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert mit Backup :mozilla.20:C:\Dokumente und C:\Dokumente und Einstellungen\gabi\Cookies\gabi@mediaplex[1].txt -> TrackingCookie.Mediaplex : Gesäubert mit Backup C:\Dokumente und Einstellungen\gabi\Cookies\gabi@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Gesäubert mit Backup C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\backup.zip/dlls/dwgeng.dll -> Adware.Look2Me : Gesäubert mit Backup C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\backup.zip/dlls/fndrclnr.dll -> Adware.Look2Me : Gesäubert mit Backup C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\backup.zip/dlls/j80slid7180.dll -> Adware.Look2Me : Gesäubert mit Backup C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\backup.zip/dlls/jtn4075qe.dll -> Adware.Look2Me : Gesäubert mit Backup C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\backup.zip/dlls/uvaprop.dll -> Adware.Look2Me : Gesäubert mit Backup C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\backup.zip/dlls/wcw32.dll -> Adware.Look2Me : Gesäubert mit Backup C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\backup.zip/dlls/wphtcpip.dll -> Adware.Look2Me : Gesäubert mit Backup C:\Dokumente und Einstellungen\gabi\Desktop\l2mfix\backup.zip/dlls/wV2time.dll -> Adware.Look2Me : Gesäubert mit Backup C:\Dokumente und Einstellungen\gabi\Lokale Einstellungen\Temp\Cookies\gabi@2o7[2].txt -> TrackingCookie.2o7 : Gesäubert mit Backup C:\Dokumente und Einstellungen\gabi\Lokale Einstellungen\Temp\Cookies\gabi@adtech[2].txt -> TrackingCookie.Adtech : Gesäubert mit Backup C:\Dokumente und Einstellungen\gabi\Lokale Einstellungen\Temp\Cookies\gabi@doubleclick[1].txt -> TrackingCookie.Doubleclick : Gesäubert mit Backup C:\Dokumente und Einstellungen\gabi\Lokale Einstellungen\Temp\Cookies\gabi@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup C:\Programme\bfgtoolbar\bfgtoolbar.dll_0_ -> Adware.BHO : Gesäubert mit Backup C:\Programme\bfgtoolbar\bfgtoolbar1.dll -> Adware.BHO : Gesäubert mit Backup G:\RECYCLER\S-1-5-21-1275210071-920026266-842925246-1000\Dc13.txt -> TrackingCookie.2o7 : Gesäubert mit Backup G:\RECYCLER\S-1-5-21-1275210071-920026266-842925246-1000\Dc14.txt -> TrackingCookie.Tfag : Gesäubert mit Backup G:\RECYCLER\S-1-5-21-1275210071-920026266-842925246-1000\Dc15.txt -> TrackingCookie.Addcontrol : Gesäubert mit Backup G:\RECYCLER\S-1-5-21-1275210071-920026266-842925246-1000\Dc17.txt -> TrackingCookie.Falkag : Gesäubert mit Backup G:\RECYCLER\S-1-5-21-1275210071-920026266-842925246-1000\Dc18.txt -> TrackingCookie.Atdmt : Gesäubert mit Backup G:\RECYCLER\S-1-5-21-1275210071-920026266-842925246-1000\Dc2.txt -> TrackingCookie.Advertising : Gesäubert mit Backup G:\RECYCLER\S-1-5-21-1275210071-920026266-842925246-1000\Dc21.txt -> TrackingCookie.Doubleclick : Gesäubert mit Backup G:\RECYCLER\S-1-5-21-1275210071-920026266-842925246-1000\Dc27.txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup G:\RECYCLER\S-1-5-21-1275210071-920026266-842925246-1000\Dc34.txt -> TrackingCookie.Advertising : Gesäubert mit Backup G:\RECYCLER\S-1-5-21-1275210071-920026266-842925246-1000\Dc35.txt -> TrackingCookie.Statcounter : Gesäubert mit Backup G:\RECYCLER\S-1-5-21-1275210071-920026266-842925246-1000\Dc36.txt -> TrackingCookie.Tfag : Gesäubert mit Backup G:\RECYCLER\S-1-5-21-1275210071-920026266-842925246-1000\Dc38.txt -> TrackingCookie.Tradedoubler : Gesäubert mit Backup G:\RECYCLER\S-1-5-21-1275210071-920026266-842925246-1000\Dc39.txt -> TrackingCookie.Valueclick : Gesäubert mit Backup G:\RECYCLER\S-1-5-21-1275210071-920026266-842925246-1000\Dc43.txt -> TrackingCookie.Etracker : Gesäubert mit Backup G:\RECYCLER\S-1-5-21-1275210071-920026266-842925246-1000\Dc49.txt -> TrackingCookie.Mediaplex : Gesäubert mit Backup G:\RECYCLER\S-1-5-21-1275210071-920026266-842925246-1000\Dc5.txt -> TrackingCookie.Komtrack : Gesäubert mit Backup ::Report Ende Registry Search Tool: REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "WinAntiVirus Pro 2006" 25.02.2006 13:41:41 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{367A86A5-D048-4785-86BE-4E2706AAFDD9}\1.0\0\win32] @="C:\\Programme\\WinAntiVirus Pro 2006\\winpgi.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{367A86A5-D048-4785-86BE-4E2706AAFDD9}\1.0\HELPDIR] @="C:\\Programme\\WinAntiVirus Pro 2006\\" [HKEY_USERS\S-1-5-21-848034317-34100787-1561999644-1006\Software\WinAntiVirus Pro 2006] [HKEY_USERS\S-1-5-21-848034317-34100787-1561999644-1006\Software\WinAntiVirus Pro 2006\Settings] Nach dem reinkopieren "Firewall Service" kam kein Bericht. Nur folgende Meldung: Search completed in 21 seconds. No instances of "Firewall Service" found. Hoffe, dass ich alles richtig gemacht habe. Danke und noch einen schönen Samstag. Gruß G. Malloci |
|
|
||
25.02.2006, 15:01
Ehrenmitglied
Beiträge: 29434 |
#12
Malloci
1. Start-->Ausfuehren--> regedit bearbeiten --> suchen--> WinAntiVirus Pro 2006 loeschen: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{367A86A5-D048-4785-86BE-4E2706AAFDD9} HKEY_USERS\S-1-5-21-848034317-34100787-1561999644-1006\Software\WinAntiVirus Pro 2006 2. PC neustarten 3. ueberpruefe ob C:\Programme\WinAntiVirus Pro 2006 deinstalliert und geloescht ist 4. Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. 5. gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken 6. dann scanne Etrust und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.02.2006, 22:33
...neu hier
Themenstarter Beiträge: 10 |
#13
hallo,
habe soweit alles gemacht. Die Datei C:\Programme\WinAntiVirus Pro 2006 ist nicht mehr vorhanden. Jedoch C:\Programme\WinAntiSpyware 2006 Scanner muss diese auch gelöscht werden? Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, falls Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken: Hier kam die Meldung "Webeinstellungen können nicht zurückgesetzt werden". scanne Etrust und poste den scanreport Ergebnis: Scan-Ergebnisse: Scan wurde abgeschlossen. 59518 Dateien wurden gescannt. Keine Viren gefunden. Datei Infektion Status Pfad - Keine Infektionen Wieder mal ein Dankeschön und Gruß G. Malloci |
|
|
||
26.02.2006, 13:22
Ehrenmitglied
Beiträge: 29434 |
#14
natuerlich mussdas auch deinstalliert/geloescht werden...es ist der Grund fuer alle Probleme...
C:\Programme\WinAntiSpyware 2006 Scanner du musst lernen (leider), dass es sogenannte AntispyTools gibt, die keine sind und deinen Rechner zerstoeren ob der Muell nun WinAntiVirus Pro 2006 heisst oder WinAntiVirus Pro 2006 Scanner...es muss alles restlos geloescht werden ! __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.02.2006, 17:01
...neu hier
Themenstarter Beiträge: 10 |
#15
hallo sabina,
muss jetzt nochmal ein bisschen dumm fragen: Reicht es aus, wenn ich C:\Programme\WinAntiSpyware 2006 Scanner nur einfach aus dem Laufwerk C (und Papierkorb) lösche, oder muss ich nochmal den Weg über HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{367A86A5-D048-4785-86BE-4E2706AAFDD9} HKEY_USERS\S-1-5-21-848034317-34100787-1561999644-1006\Software\WinAntiSpyware 2006 Scanner gehen. Sorry, wenn ich mich viell. zu dumm anstelle, aber ich aber von sowas überhaupt keine Ahnung. Und wenn ich dies alles jetzt dann gemacht habe, ist der PC dann wieder "bereinigt" oder muss ich (außer dass ich jetzt besser aufpasse) nochwas machen? Danke und Gruß G. Malloci |
|
|
||
Bin Anfänger und brauche dringend Hilfe. Sobald ich den Internet Explorer öffne und die gewünschte Website, öffnen sich ohne Ende andere Internet-Seiten! Passiert teilweise im 30-Sekunden-Rhytmus. Ist ganz schön nervig und ich weiß nicht, wie ich das abstellen soll.
Hab auf Nachfragen schon dieses hijackthis gemacht :-)
Logfile of HijackThis v1.99.1
Scan saved at 20:39:07, on 20.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\Z2FiaQ\command.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\BRMFRSMG.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Scansoft\PaperPort\pptd40nt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AIM95\aim.exe
C:\WINDOWS\agfguard.exe
C:\Programme\Scansoft\PaperPort\SmartUI\SmartUI.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\gabi\Desktop\downloads spiele\hijackthis_199\HijackThis.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\Scansoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl03a\BrStDvPt.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_7
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: ISDN Guard.lnk = C:\WINDOWS\agfguard.exe
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{F83AD358-3351-4377-9190-E708AB83F8A2}: NameServer = 195.247.247.195 62.27.27.62
O20 - Winlogon Notify: Reliability - C:\WINDOWS\system32\gprol3931.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Z2FiaQ\command.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
Ich hoffe dass jemand hiermit schon was anfangen kann. Bin wie gesagt Anfänger und brauche dementsprechend ziemlich eindeutige und unkomplizierte Hilfe.
Vielen Dank schon mal im voraus :-)